Son Güncelleme: 26 Ağustos 2025
Merhaba hata avcıları! XposedOrNot'u (XON) güvende
tutmamıza yardımcı olmak için burada olmanıza çok sevindik. Bu
Sorumlu Açıklama Politikasını; herkesin kurallara uygun
davranmasını ve hizmetlerimizi, web sitemizi ve ağımızı can
sıkıcı hatalardan veya güvenlik açıklarından korumamıza yardımcı
olmasını sağlamak için hazırladım.
Dikkatimi gerektiren bir şey bulursanız, daha hızlı
düzeltebilmem için sorumlu bir şekilde araştırıp bildirme
konusundaki iş birliğinize teşekkür ederim. Güvenlik açıklarını
açıklamadaki yardımınız, tüm kullanıcılarımızı güvende tutmamıza
katkı sağlar.
Bildirim Yönergeleri:
Bir hata veya güvenlik açığı bildirirken lütfen aşağıdakileri
eklediğinizden emin olun:
-
Ekran görüntüleri veya çıktı verileri gibi kanıtlarla
birlikte hatanın veya güvenlik açığının net bir açıklaması.
Çekinmeyin, bulduklarınızı görmeyi çok seviyoruz!
-
Neyle karşı karşıya olduğumuzu bilmemiz için güvenlik
açığının olası etkisinin bir açıklaması.
-
XON Güvenlik Araştırmacıları Onur Listesinde (Hall of Fame)
hak ettiğiniz takdiri verebilmemiz için tercih ettiğiniz isim
veya kullanıcı adınız.
-
Sorunu kendi tarafımızda yeniden oluşturabilmemiz için tam
yeniden üretme adımları.
-
Varsa bir video kavram kanıtı (proof of concept) her zaman
memnuniyetle karşılanır.
-
Platformlar, işletim sistemleri, sürümler, IP adresleri veya
URL'ler hakkındaki ilgili tüm bilgiler.
-
Günlük (log) veya izleme verileri gibi destekleyici kanıtlar
her zaman yardımcı olur.
-
Sorunun ne kadar istismar edilebilir olduğuna dair
değerlendirmeniz. İstismar edilebilirlik ölçeğinde 10
üzerinden 10 olsa bile sizi yargılamayız.
Harika bir hata avcısı olduğunuz 🙌 ve XposedOrNot'u (XON)
güvende tutmamıza yardımcı olduğunuz için teşekkürler!
Geçerli Bildirimler
- Yerel veya Uzaktan Dosya Dahil Etme (LFI/RFI)
- Kimlik Doğrulama Atlatma
- Dizin Aşımı (Directory Traversal)
- Yetkisiz veya istenmeyen veri sızıntısı
- Uzaktan kod yürütme (RCE)
- SQL/XXE Enjeksiyonu ve komut enjeksiyonu
- Siteler Arası Betik Çalıştırma (XSS)
- Sunucu Taraflı İstek Sahteciliği (SSRF)
- Sunucularda veya API'de yapılandırma hataları
- Kimlik doğrulama ve yetkilendirmeyle ilgili sorunlar
- Siteler Arası İstek Sahteciliği (CSRF)
Kapsamdaki Alan Adları
Birincil Alan Adı: xposedornot.com
Alt Alan Adları: xposedornot.com'un tüm alt
alan adları (*.xposedornot.com)
Bunlara api.xposedornot.com, passwords.xposedornot.com,
plus.xposedornot.com ve gelecekteki tüm alt alan adları
dahildir ancak kapsam bunlarla sınırlı değildir.
Bilgilerin Kullanımı
Sizinle ve hizmetlerimizle ilgili tüm bilgileri gizli
tutacağımıza söz veriyoruz. Lütfen siz de ekibimiz dışında
kimseyle paylaşmayın!
Amacımız interneti daha güvenli bir yer haline getirmek ve bu
hedefe ulaşmamıza yardımcı olan güvenlik araştırmacılarına değer
veriyoruz. Bu çabanın bir parçası olduğunuz için size kocaman
teşekkürler 🙏! Bulduğunuz hataları veya güvenlik açıklarını
sorumlu bir şekilde açıklayarak kullanıcılarımızı ve verilerini
korumamıza yardımcı oluyorsunuz.
Kabul Edilebilir Kullanım Politikası
Küçük bir hatırlatma: bu, güvenlik açığı bildirimleri için nakit
ödül sunduğumuz tipik bir hata ödül programı değildir. (Henüz) o
kadar zengin değiliz. Ancak bize önemli bir şey bildirirseniz,
karşılığında size sevgimizi ve takdirimizi gösterebiliriz!
Yalnızca etik kurallara bağlı kaldığınızdan emin olun, olur mu?
İnternetin iyi bir vatandaşı gibi davranmanızı ve Kabul
Edilebilir Kullanım Politikamızda belirlediğimiz kurallara
uymanızı bekliyoruz. Bunu yaparsanız, Onur Listesi (Hall of Fame)
sayfamızda sizi memnuniyetle takdir ederiz; bu sayfa bir bakıma
bizim Hollywood Şöhret Kaldırımımız, ama güvenlik araştırmacıları
için. Haydi, becerilerinizi gösterin ve XposedOrNot'u herkes için
daha güvenli bir yer yapmamıza yardımcı olun!
Hata Bildirenler: Beklentiler
Hata avcıları, XposedOrNot'u herkes için daha güvenli bir yer
haline getirmemize yardımcı olmanızdan heyecan duyuyoruz!
Başlamadan önce sizden beklediğimiz birkaç şey var:
-
Lütfen XposedOrNot'a veya kullanıcılarımıza zarar verecek ya
da hizmeti aksatacak hiçbir şey yapmayın.
-
Raporunuzu aldıktan sonra 1-3 gün içinde size bir alındı
bildirimi göndeririz.
-
Kullanıcılarımızın gizliliğine saygı gösterin ve hesaplarını
karıştırmaya çalışmayın.
- Yalnızca kendi hesaplarınız ve e-posta adresleriniz üzerinde test yapın.
-
Web sunucumuza veya API'mize erişim sağlayan kritik bir
güvenlik açığı bulursanız, lütfen orada durun ve devamını
bize bırakın.
-
Sorunu biz çözene kadar konuyla ilgili hiçbir ayrıntıyı
paylaşmayın.
-
Güvenlik açığını kişisel çıkar için istismar etmeye
çalışırsanız raporunuzu diskalifiye etmek zorunda kalırız.
Platformumuzu güvende tutmamıza yardımcı olduğunuz için iş
birliğinize teşekkür ederiz. XposedOrNot'u olabileceğinin en
iyisi yapmak için birlikte çalışalım!